生成 AI ユースケースのインフラストラクチャ コントロール

このドキュメントでは、Google Cloudで生成 AI ワークロードを実行する際の Pub/Sub、Dataflow、Cloud Run functions などの Google Cloudサービスのベスト プラクティスとガイドラインについて説明します。

IP 転送を有効にできる VM インスタンスを定義する

Google コントロール ID VPC-CO-6.3
実装 必須
説明
compute.vmCanIpForward 制約により、IP 転送を有効にできる VM インスタンスを定義します。デフォルトでは、すべての VM がすべての仮想ネットワークで IP 転送を有効にすることができます。次のいずれかの形式で VM インスタンスを指定します。
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
この制約は遡及的ではありません。
対象プロダクト
  • 組織ポリシー サービス
  • Virtual Private Cloud(VPC)
  • Compute Engine
パス constraints/compute.vmCanIpForward
演算子 =
  • Your list of VM instances that can enable IP forwarding.
リスト
関連する NIST-800-53 コントロール
  • SC-7
  • SC-8
関連する CRI プロファイル コントロール
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
関連情報

VM のネストされた仮想化を無効にする

Google コントロール ID VPC-CO-6.6
実装 必須
説明
compute.disableNestedVirtualization ブール値制約により、Compute Engine VM のハードウェア アクセラレーションによりネストされた仮想化が無効になります。
対象プロダクト
  • 組織ポリシー サービス
  • Virtual Private Cloud(VPC)
  • Compute Engine
パス constraints/compute.disableNestedVirtualization
演算子 Is
  • True
ブール値
関連する NIST-800-53 コントロール
  • SC-7
  • SC-8
関連する CRI プロファイル コントロール
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
関連情報

VM の外部 IP アドレスを制限する

Google コントロール ID VPC-CO-6.2
実装 必須
説明

必要がない限り、パブリック IP アドレスを持つ Compute Engine インスタンスの作成を禁止します。compute.vmExternalIpAccess リスト型制約により、外部 IP アドレスを持つことができる一連の Compute Engine VM インスタンスを定義します。

Compute Engine インスタンスに外部 IP アドレスが割り当てられないようにして、インターネットへの露出を大幅に減らします。外部 IP アドレスを持つインスタンスはすぐに検出され、自動スキャン、ブルート フォース攻撃、脆弱性の悪用を試みる攻撃の直接的な標的になります。代わりに、インスタンスでプライベート IP アドレスを使用するように要求し、Identity-Aware Proxy(IAP)トンネルや踏み台インスタンスなどの制御、認証、ロギングされたパスウェイを介してアクセスを管理します。

このデフォルトで拒否する姿勢を採用することは、攻撃対象領域を最小限に抑え、ネットワークに対するゼロトラスト アプローチを適用するのに役立つ基本的なセキュリティの効果的な手法です。この制約は遡及的ではありません。
対象プロダクト
  • 組織ポリシー サービス
  • Virtual Private Cloud(VPC)
  • Compute Engine
パス constraints/compute.vmExternalIpAccess
演算子 =
  • The list of VM instances in your organization that can have external IP addresses.
リスト
関連する NIST-800-53 コントロール
  • SC-7
  • SC-8
関連する CRI プロファイル コントロール
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
関連情報

VM インスタンスに対して許可されている外部 IP アドレスを定義する

Google コントロール ID CBD-CO-6.3
実装 必須
説明

compute.vmExternalIpAccess リスト型制約を使用すると、外部 IP アドレスを割り当てないことで、仮想マシンへの外部アクセスを制限できます。このリスト型制約を構成して、仮想マシンへのすべての外部 IP アドレスを拒否します。
対象プロダクト
  • 組織ポリシー サービス
  • Compute Engine
パス compute.vmExternalIpAccess
演算子 =
  • Deny All
リスト
関連する NIST-800-53 コントロール
  • AC-3
  • AC-12
  • AC-17
  • AC-20
関連する CRI プロファイル コントロール
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
関連情報

Cloud Run functions の VPC コネクタを必須にする

Google コントロール ID CF-CO-4.4
実装 必須
説明

cloudfunctions.requireVPCConnector ブール値制約により、管理者は Cloud Run 関数をデプロイするときにサーバーレス VPC アクセス コネクタを指定する必要があります。適用されると、関数でコネクタを指定する必要があります。
対象プロダクト
  • 組織ポリシー サービス
  • Cloud Run functions
パス constraints/cloudfunctions.requireVPCConnector
演算子 =
  • True
ブール値
関連する NIST-800-53 コントロール
  • SC-7
  • SC-8
関連する CRI プロファイル コントロール
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
関連情報

メッセージ ストレージ ポリシーの構成

Google コントロール ID PS-CO-4.1
実装 省略可
説明
メッセージをグローバル Pub/Sub エンドポイントにパブリッシュすると、Pub/Sub は最も近い Google Cloud リージョンにメッセージを自動的に保存します。メッセージを保存するリージョンを制御するには、トピックにメッセージ ストレージ ポリシーを構成します。次のいずれかの方法で、トピックのメッセージ ストレージ ポリシーを構成します。
  • リソース ロケーション制限(gcp.resourceLocations)の組織のポリシーの制約を使用して、メッセージ ストレージ ポリシーを設定します。
  • トピックの作成時にメッセージ ストレージ ポリシーを構成します。例:

    gcloud pubsub topics create TOPIC_ID \--message-storage-policy-allowed-regions=REGION1, REGION2
対象プロダクト
  • 組織ポリシー サービス
  • Pub/Sub
関連する NIST-800-53 コントロール
  • AC-3
  • AC-17
  • AC-20
関連する CRI プロファイル コントロール
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
関連情報

Dataflow ジョブの外部 IP アドレスをオフにする

Google コントロール ID DF-CO-6.1
実装 省略可
説明

Dataflow ジョブに関連する管理タスクとモニタリング タスクの外部 IP アドレスをオフにします。代わりに、SSH を使用して Dataflow ワーカー VM へのアクセスを構成します。

プライベート Google アクセスを有効にして、Dataflow ジョブで次のいずれかのオプションを指定します。

  • --usePublicIps=false--network=NETWORK-NAME
  • --subnetwork=SUBNETWORK-NAME

ここで

  • NETWORK-NAME: Compute Engine ネットワークの名前。
  • SUBNETWORK-NAME: Compute Engine サブネットワークの名前。
対象プロダクト
  • Compute Engine
  • Dataflow
関連する NIST-800-53 コントロール
  • SC-7
  • SC-8
関連する CRI プロファイル コントロール
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
関連情報

ファイアウォール ルールにネットワーク タグを使用する

Google コントロール ID DF-CO-6.2
実装 省略可
説明

ネットワーク タグは、Dataflow ワーカー VM などの Compute Engine VM に付加されるテキスト属性です。ネットワーク タグを使用すると、VPC ネットワーク ファイアウォール ルールと一部のカスタム静的ルートを特定の VM インスタンスに適用できます。Dataflow では、特定の Dataflow ジョブを実行するすべてのワーカー VM にネットワーク タグを追加できます。
対象プロダクト
  • Compute Engine
  • Dataflow
関連する NIST-800-53 コントロール
  • SC-7
  • SC-8
関連する CRI プロファイル コントロール
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
関連情報

次のステップ